{"id":502944,"date":"2022-12-09T10:48:50","date_gmt":"2022-12-09T12:48:50","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-chercheurs-decouvrent-un-nouveau-logiciel-malveillant-drokbk-qui-utilise-github-comme-resolveur-dead-drop\/"},"modified":"2022-12-09T10:48:52","modified_gmt":"2022-12-09T12:48:52","slug":"des-chercheurs-decouvrent-un-nouveau-logiciel-malveillant-drokbk-qui-utilise-github-comme-resolveur-dead-drop","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-chercheurs-decouvrent-un-nouveau-logiciel-malveillant-drokbk-qui-utilise-github-comme-resolveur-dead-drop\/","title":{"rendered":"Des chercheurs d\u00e9couvrent un nouveau logiciel malveillant Drokbk qui utilise GitHub comme r\u00e9solveur Dead Drop"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">09 d\u00e9cembre 2022<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Le sous-groupe d&#8217;un groupe d&#8217;\u00c9tats-nations iranien connu sous le nom de <strong>Chaton N\u00e9m\u00e9sis<\/strong> a \u00e9t\u00e9 attribu\u00e9 comme \u00e9tant \u00e0 l&#8217;origine d&#8217;un logiciel malveillant personnalis\u00e9 jusqu&#8217;alors non document\u00e9 appel\u00e9 <b>Drokbk<\/b> qui utilise GitHub comme r\u00e9solveur de dead drop pour exfiltrer les donn\u00e9es d&#8217;un ordinateur infect\u00e9 ou pour recevoir des commandes.<\/p>\n<p>&#8220;L&#8217;utilisation de GitHub comme point mort virtuel aide les logiciels malveillants \u00e0 s&#8217;int\u00e9grer&#8221;, a d\u00e9clar\u00e9 le chercheur principal de Secureworks, Rafe Pilling. <a rel=\"nofollow noopener\" href=\"https:\/\/secureworks.com\/blog\/drokbk-malware-uses-github-as-dead-drop-resolver\" target=\"_blank\">a dit<\/a>.  &#8220;Tout le trafic vers GitHub est crypt\u00e9, ce qui signifie que les technologies d\u00e9fensives ne peuvent pas voir ce qui est transmis. Et parce que GitHub est un service l\u00e9gitime, il soul\u00e8ve moins de questions.&#8221;<\/p>\n<p>Les activit\u00e9s malveillantes de l&#8217;acteur parrain\u00e9 par le gouvernement iranien sont pass\u00e9es inaper\u00e7ues plus t\u00f4t en f\u00e9vrier 2022, lorsqu&#8217;il a \u00e9t\u00e9 observ\u00e9 en train d&#8217;exploiter les failles Log4Shell dans les serveurs VMware Horizon non corrig\u00e9s pour d\u00e9ployer un ran\u00e7ongiciel.<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/uptycs-inside\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/Des-chercheurs-detaillent-la-vulnerabilite-inter-locataire-dAppSync-dans-Amazon-Web.jpg\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Nemesis Kitten est <a rel=\"nofollow noopener\" href=\"https:\/\/www.secureworks.com\/research\/threat-profiles\/cobalt-mirage\" target=\"_blank\">suivi<\/a> par la grande communaut\u00e9 de la cybers\u00e9curit\u00e9 sous divers noms tels que TunnelVision, Cobalt Mirage et UNC2448.  C&#8217;est aussi un sous-cluster du groupe Phosphorus, Microsoft lui donnant la d\u00e9signation DEV-0270.<\/p>\n<p>On dit \u00e9galement qu&#8217;il partage des chevauchements tactiques avec un autre collectif adversaire surnomm\u00e9 Cobalt Illusion (alias APT42), un sous-groupe Phosphorus &#8220;charg\u00e9 de mener des op\u00e9rations de collecte d&#8217;informations et de surveillance contre des individus et des organisations d&#8217;int\u00e9r\u00eat strat\u00e9gique pour le gouvernement iranien&#8221;.<\/p>\n<p>Des enqu\u00eates ult\u00e9rieures sur les op\u00e9rations de l&#8217;adversaire ont r\u00e9v\u00e9l\u00e9 deux ensembles d&#8217;intrusions distincts : le cluster A, qui utilise BitLocker et DiskCryptor pour mener des attaques de ran\u00e7ongiciels opportunistes \u00e0 des fins financi\u00e8res, et le cluster B, qui effectue des effractions cibl\u00e9es pour la collecte de renseignements.<\/p>\n<p>Microsoft, Google Mandiant et Secureworks ont depuis d\u00e9couvert des preuves retra\u00e7ant les origines de Cobalt Mirage \u00e0 deux soci\u00e9t\u00e9s \u00e9crans iraniennes Najee Technology et Afkar System qui, selon le d\u00e9partement du Tr\u00e9sor am\u00e9ricain, sont affili\u00e9es au Corps des gardiens de la r\u00e9volution islamique (CGRI).<\/p>\n<p>Drokbk, le logiciel malveillant nouvellement identifi\u00e9, est associ\u00e9 au cluster B et est \u00e9crit en .NET.  D\u00e9ploy\u00e9 apr\u00e8s l&#8217;exploitation comme une forme d&#8217;\u00e9tablissement de la persistance, il se compose d&#8217;un dropper et d&#8217;une charge utile utilis\u00e9e pour ex\u00e9cuter les commandes re\u00e7ues d&#8217;un serveur distant.<\/p>\n<p>&#8220;Les premiers signes de son utilisation dans la nature sont apparus lors d&#8217;une intrusion en f\u00e9vrier 2022 dans un r\u00e9seau de gouvernement local am\u00e9ricain&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 dans un rapport partag\u00e9 avec The Hacker News.<\/p>\n<p>Cette attaque a entra\u00een\u00e9 la compromission d&#8217;un serveur VMware Horizon utilisant les vuln\u00e9rabilit\u00e9s Log4j (CVE-2021-44228 et CVE-2021-45046), conduisant finalement \u00e0 la livraison du binaire Drokbk au moyen d&#8217;une archive ZIP compress\u00e9e h\u00e9berg\u00e9e sur un service de transfert de fichiers .<\/p>\n<p>Comme mesure d&#8217;\u00e9vasion de la d\u00e9tection, Drokbk utilise une technique appel\u00e9e <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1102\/001\/\" target=\"_blank\">r\u00e9solveur de chute morte<\/a> pour d\u00e9terminer son serveur de commande et de contr\u00f4le (C2).  Le r\u00e9solveur Dead Drop fait r\u00e9f\u00e9rence \u00e0 l&#8217;utilisation d&#8217;un service Web externe l\u00e9gitime pour h\u00e9berger des informations qui pointent vers une infrastructure C2 suppl\u00e9mentaire.<\/p>\n<p>Dans ce cas, cela est r\u00e9alis\u00e9 en tirant parti d&#8217;un r\u00e9f\u00e9rentiel GitHub contr\u00f4l\u00e9 par un acteur qui h\u00e9berge les informations dans le <a rel=\"nofollow noopener\" href=\"https:\/\/docs.github.com\/en\/repositories\/managing-your-repositorys-settings-and-features\/customizing-your-repository\/about-readmes\" target=\"_blank\">Fichier LISEZMOI.md<\/a>.<\/p>\n<p>&#8220;Drokbk fournit aux acteurs de la menace un acc\u00e8s \u00e0 distance arbitraire et un pied suppl\u00e9mentaire aux c\u00f4t\u00e9s d&#8217;outils de tunnellisation tels que Fast Reverse Proxy (FRP) et Ngrok&#8221;, a d\u00e9clar\u00e9 Pilling.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/12\/researchers-uncover-new-drokbk-malware.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80209 d\u00e9cembre 2022\ue804Ravie Lakshmanan Le sous-groupe d&#8217;un groupe d&#8217;\u00c9tats-nations iranien connu sous le nom de Chaton N\u00e9m\u00e9sis a \u00e9t\u00e9 attribu\u00e9 comme \u00e9tant \u00e0 l&#8217;origine d&#8217;un logiciel malveillant personnalis\u00e9 jusqu&#8217;alors non document\u00e9 appel\u00e9 Drokbk qui utilise GitHub comme r\u00e9solveur de dead drop pour exfiltrer les donn\u00e9es d&#8217;un ordinateur infect\u00e9 ou pour recevoir des commandes. &#8220;L&#8217;utilisation de [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":502945,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[12848,1756,4168,4158,4165,4161,205,3073,133,130795,83500,50438,4157,4159,4171,4170,6816,4167,7733,4160,680,4163,4162,364,85703,4172,4169,1282,4166,4164],"class_list":["post-502944","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-chercheurs","tag-comme","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dead","tag-decouvrent","tag-des","tag-drokbk","tag-drop","tag-github","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel","tag-logiciel-malveillant-de-ransomware","tag-malveillant","tag-mises-a-jour-de-la-cybersecurite","tag-nouveau","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-qui","tag-resolveur","tag-securite-informatique","tag-securite-internet","tag-utilise","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/502944","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=502944"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/502944\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/502945"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=502944"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=502944"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=502944"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}